[RESOLU] infections multiples

[WawaSeb]

Bonsoir Arthiesis,

 

Je n'ai plus de problèmes de popup

--> C'est une très bonne nouvelle, les infections semblent neutralisées...

 

 

*** Ravi de voir qu'il n'y a aucun rootkit détecté par BlackLight sur ton système ***

 

 

1) Relance Spybot et répare tous les problèmes qu'il trouve --> Corriger les problèmes

 

 

2) Vérifie que Spybot a bien pu réaliser sa tâche, si ce n'est pas le cas, indique-moi ce qui résiste...

 

 

3) Supprime également les fichiers détectés par BitDefender et dis-moi ceux qui ne se suppriment pas !

 

 

4) Télécharge les derniers pilotes ATI pour Win XP (SP2) correspondants à ta carte graphique

 

 

5) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle les pilotes ATI et tout ce qui s'y rapporte
  

 

6) Redémarre ta machine

 

 

7) Ré-installe les pilotes de ta carte graphique au moyen du fichier que tu viens de télécharger... en suivant les instructions à l'écran et en acceptant toutes les options par défaut ; peut-être faudra-t-il se diriger vers la section software du forum...

 

 

---> Que te reste-t-il comme problèmes ?

 

@ plus,

[Arthiesis]

Re,

 

Je ne sais comment te remercier pour ton aide, de plus j'apprécie vraiment les petites choses comme les liens qui instruisent (Rootkit qui mène à Wiki.... par exemple)

1) Relance Spybot et répare tous les problèmes qu'il trouve --> Corriger les problèmes

Je le passe en Mode sans échec, pas de problème ???

 

J'effectue les opération 2 et 3 et je te dis ce qu'il en est demain.

4) Télécharge les derniers pilotes ATI pour Win XP (SP2) correspondants à ta carte graphique

Pour ça normalement suis à jour, bien qu'ATI fait souvent des MAJ pour leurs cartes. je me dirigerai vers la section "software" mais j'avoue que le problème ne s'est pas reproduit.

Pour les installe/desinstalle de pilote, suis au point. Enfin disons que je fait ça correctement dans les règles. Il m'arrive souvent de changer ma CG, je jongle entre mon ATI X600 pro 256Mb et la dernière que j'ai acheté qui gère le shader 3.0. Une Geforce 7600GT. par contre cette dernière est alimentée par la carte mère alors que l'a première par l'alimentation. Celà est une des raison pour laquelle je reviens toujours à ma "vieille" Carte

Les connaisseurs me diront sûrement que je suis bête mais j'ai également l'impression que pour ce qui est de lire les video et pour le graphisme elle me paraît mieux adapté avec un meilleur rendu.

Bien que je n'éxerce plus dans le graphisme proprement dit je fait souvent de la PAO à la maison et le PC et l'écran d'origine étaient au départ fait pour ça.

 

J'ai réussi à supprimer les fichiers trouvés par Bit Defender, ceux ci-dessous :

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057026.exe
Infecté par: Trojan.Downloader.Small.BHH

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe=>(RAR Sfx o)=>keygen.exe
Infecté par: Trojan.Downloader.Small.BHH

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057654.dll
Infecté par: GenPack:Trojan.Vundo.DLV

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP139\A0065599.exe
Infecté par: Trojan.LowZones.SA

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP139\A0065600.exe
Infecté par: Trojan.LowZones.SA

 

Par contre bien que j'ai coché la case afficher les dossiers cachés je n'ai pas trouvé C:\System Volume Information j'ai procédé en utilisant la fonction "rechercher" et il trouve un dossier RP132 our tout est dedans mais ce dossier je ne le vois nulle par sur C:

Ceux se trouvant dans Windows/System32 ont été éliminé pour ça pas bersoin de les rechercher un par un.

Je souhaite par la même occasion supprimer tout ce que Kapersky à trouvé, je ne pense pas que celà fasse de mal.

 

 

Ceux-ci :

C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057026.exe  Infecté : Trojan-Downloader.Win32.LoadAdv.gen  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar/keygen.exe  Infecté : Trojan-Downloader.Win32.LoadAdv.gen  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar/crack.exe  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar/serial.exe  Infecté : Trojan.Win32.Dialer.qn  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar  Infecté : Trojan.Win32.Dialer.qn  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe  RarSFX: infecté - 4  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057044.exe  Infecté : Backdoor.Win32.Agent.acx  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057045.exe  Infecté : Trojan-Downloader.Win32.Tiny.he  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057547.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057548.dll  Infecté : Trojan.Win32.BHO.bd  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057549.dll  Suspect : Packed.Win32.Morphine.a  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057550.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057551.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057552.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057553.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057554.dll  Infecté : Trojan.Win32.Dialer.qn  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057563.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057564.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057653.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.bq  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057654.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.kg  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057655.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.bq  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057675.exe  Infecté : not-a-virus:RiskTool.Win32.Reboot.f  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP136\change.log

 

Qu'en pense tu ??

 

Là apparemment ceux-ci se trouvent dans RP136.

 

Ah oui très important : Je ne trouve plus les dossiers Temporary Internet Files dans C:\Documents and Settings\HH\Local Settings

Je voulais supprimer les cookie trouvés par spybot en les trouvant directement là dedans mais plus de Temporary Internet Files ?????

 

pour Spybot :

 

Screen avant nettoyage (05/06/2007).

 

Screen après nettoyage (06/06/2007)

là il en reste 4

 

dans la foulé j'ai re-corrigé et repassé Spybot en Mode sans échec.

 

Rien à faire, après passage ne mode ss echec, correction je repasse Spybot en mode normal et mes 5 espion sont toujours là !??

 

Il doit y avoir quelque chose que je fais mal mais suis inquiet de ne plus trouver mes Temporary Internet Files. Je me sercait souvent de ce dossier pour aller supprimer, ou plutôt ne garder que les quelques cookies qui m'intéressaient. Je nettoyait ce dossier chaque jour.

 

Je suis confus dans mes explications, j'espère que tu arrive à me comprendre quand même !!!

 

Pour les autres problèmes, ce n'est plus de l'infection bien que celà ai surement un rapport. Je parle de services.exe et l'arret systeme mais ne t'embête pas avec ça je vais trouver à me renseigner.

 

Vraiment là les détours malsains je vais les éviter comme la peste et je te félicite pour ta pédagogie tout est clair et concis.

 

Cdt,

 

Hervé

Modifié le 6 juin 2007 par Arthiesis

[WawaSeb]

Bonsoir Arthiesis,

 

Au niveau des infections, tout semble propre après ces dernières procédures...

 

je n'ai pas trouvé C:\System Volume Information

--> C'est normal, il s'agit de la restauration du système... les fichiers présents sont inactifs tant que tu n'utilises pas les anciens points de restauration !

 

*********************************************************

Lorsque tu es certain que ta machine ne plante plus, suis l'instruction #

*********************************************************

 

# Nous allons donc maintenant vider la restauration du système :

 

---> Pour ce faire, désactive puis ré-active cette dernière comme indiqué ici

 

 

Attention, tu dois impérativement redémarrer ton ordinateur entre la désactivation et la ré-activation de cette restauration !!

 

 

correction je repasse Spybot en mode normal et mes 5 espion sont toujours là !??

---> Il ne s'agit que de cookies, sans grand danger ! Les cookies sont stockés sur ton ordinateur pour retenir certaines informations et te faire gagner du temps. Ils reviendront toujours (et cela n'est pas très grave), sauf si tu les bloques dans les options de ton navigateur... Si tu veux en savoir plus à ce sujet, je peux détailler...

 

 

Comment se porte ta machine ?

[Arthiesis]

Bonjour Wanaseb,

 

Tout d'abord, excuse mon temps de réponse

Je n'ai pu répondre plus tôt, il m'a fallu effectuer un déplacement.

 

La machine se porte parfaitement bien maintenant, je te remercie grandement pour ton aide et ta patience vraiment

 

Je n'ai pas encore effectué la désactivation/activation mais je m'en occupe dès ce soir. POur la procédure, pas de problème il m'eest déjà arrivé de l'appliquer !

 

Je te souhaite un excellent Week end, encore merci.

 

Cordialement,

 

Hervé

[WawaSeb]

Bonsoir Arthiesis,

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
3. Evite les sites douteux, illégaux, pornographiques, ...
   
4. Méfie-toi des programmes gratuits (financés par...)
   
5. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
6. Garde un Antivirus à jour !
   
7. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
8. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

2) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Tes infections principales : Vundo et Qoologic

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

Passe un excellent WE !!!